--[ Anomalía #5 - Filtraciones Latam en circulación - Llega Exfiltradaz ]--

–[ Anomalía #5 - Filtraciones Latam en circulación - Llega Exfiltradaz ]–

  En enero de 2026, un grupo que opera bajo el nombre Chronus publicó 2.3 terabytes de datos de 25 instituciones públicas mexicanas. El gobierno respondió que los sistemas afectados eran obsoletos administrados por privados, que las credenciales comprometidas ya habían sido inhabilitadas, que no hubo vulneración de infraestructura central. Los datos siguieron circulando en Telegram.

El 30 de marzo, un grupo bajo el nombre ChronusTeam publicó 28 brechas simultáneas contra el Estado argentino: Banco Central, ministerios nacionales, fuerzas policiales de varias provincias, sistemas de salud y educación. No hay confirmación pública clara. Los claims siguen circulando en foros y canales.

En Colombia, mientras tanto, además de acumulación también hay simultaneidad. El 2 de abril aparecieron múltiples filtraciones que afectan sectores públicos, financieros y educativos al mismo tiempo —desde entidades territoriales hasta bases asociadas a sistemas nacionales— ampliando el alcance y el riesgo de exposición de datos sensibles.

El patrón no está en la técnica, sino en lo que pasa después de la filtración. Las bases terminan en foros y canales de Telegram, se empaquetan por tipo de dato (credenciales, KYC, accesos) y se reutilizan en campañas concretas de phishing y fraude. Entre incidentes no hay trazabilidad pública ni confirmación de mitigación: respuestas parciales o silencio. México, Argentina y Colombia repiten la misma secuencia, con actores que cambian de nombre pero operan sobre los mismos conjuntos de datos y circuitos de distribución.

Exfiltradaz intenta hacer visibles este tipo de patrón. Esta semana lanzamos esta iniciativa para monitorear la circulación de datos en la región: recolección de señales públicas en foros y canales, estructuración de lo que aparece, publicación abierta de datos y pipelines en GitHub. No es un repositorio de bases filtradas ni un sistema de verificación de incidentes. Es seguimiento de flujo.

Los insights y datos están disponibles directamente en Exfiltradaz. Pueden revisarlo y, como siempre, comentarios y aportes son bienvenidos. 💚

–[ Malware ]–

LATAM - Horabot sigue activo, ahora con CAPTCHA falso en México

Kaspersky documentó una campaña activa de Horabot con foco en México. No es nuevo — opera desde 2020, de origen brasileño — pero la versión actual tiene cambios relevantes. El vector de entrada ya no es solo un adjunto de factura: ahora arranca con una página de CAPTCHA falsa que instruye a la víctima a abrir una ventana de ejecución de Windows y pegar un comando. Desde ahí se despliega una cadena de infección por capas: HTA, VBScript, AutoIT como loader, y finalmente un troyano bancario cargado directo en memoria. Kaspersky encontró una base de datos pública mantenida por los atacantes donde el 93% de las víctimas están en México.

Brasil — Casbaneiro y Horabot juntos

Una campaña reciente atribuida a un actor brasileño que combina Horabot con Casbaneiro — un troyano bancario conocido en la región desde hace años — en una operación que ya no se limita a LATAM: también apunta a hispanohablantes en Europa. El grupo opera dos canales en paralelo: uno vía WhatsApp para usuarios finales, otro vía email para entornos corporativos. El señuelo es una citación judicial falsa. Lo que cambia respecto a campañas anteriores es que el PDF malicioso se genera dinámicamente para cada víctima, lo que dificulta la detección por firma. Una vez dentro, el malware secuestra la cuenta de correo y usa sus propios contactos para seguir distribuyendo el phishing.

Operation NoVoice — rootkit en Google Play, 2.3 millones de descargas

McAfee documentó Operation NoVoice, una campaña de rootkit para Android distribuida a través de más de 50 aplicaciones en Google Play — limpiadoras, juegos, utilidades de galería — que acumularon al menos 2.3 millones de descargas antes de ser removidas. El malware apunta exclusivamente a dispositivos sin parche de seguridad posterior a mayo de 2021, explotando vulnerabilidades conocidas desde 2016. En dispositivos vulnerables logra control total: se instala en la partición de sistema, sobrevive a un factory reset, y una vez activo inyecta código en cada app que se abre. El payload observado apunta a WhatsApp — clona la sesión completa. El gráfico de infecciones muestra concentración en África y Asia, con presencia en varios países de LATAM donde circulan dispositivos que ya no reciben actualizaciones de seguridad.

–[ Filtraciones ]–

Argentina — 28 brechas anunciadas contra el Estado

Un grupo bajo el nombre ChronusTeam publicó 28 brechas simultáneas contra múltiples entidades del Estado argentino: Banco Central, ministerios, fuerzas policiales y sistemas de salud y educación. El volumen y el alcance apuntan a una operación coordinada, pero no hay confirmación técnica pública clara sobre los compromisos. Parte de la información circula en foros y canales asociados a filtraciones, donde aparecen listados de accesos y muestras parciales.

Colombia — múltiples filtraciones en paralelo

En los últimos días aparecieron varias filtraciones que afectan de forma simultánea a entidades públicas, financieras y educativas en Colombia. Entre los casos señalados están la Alcaldía de Medellín, Banco Finandina, Banco W y la Universidad del Cauca. Algunos de los incidentes vuelven a vincularse con actores que ya veníamos siguiendo, como NyxarGroup, mientras que otros aparecen asociados a alias distintos como Petro_Escobar o DelitosPenales y en los últimos días estos grupos se han unido para hacer anuncios de filtraciones conjuntamente . Algunos ya los estamos siguiendo en Exfiltradaz. Los datos expuestos incluyen información personal, historiales financieros, registros administrativos y bases asociadas a sistemas nacionales. Parte del material ya circula en foros y canales donde se comparten este tipo de dumps.

Brasil / Tanzania — acceso alegado a sistemas municipales y policiales

Un actor bajo el alias cozypandas publicó un acceso a sistemas de una administración municipal en Brasil (Macaíba, Rio Grande do Norte) y a infraestructura de correo asociada a fuerzas policiales en Tanzania. En el caso de Brasil, se mencionan registros administrativos con datos personales (nombres, fechas de nacimiento y otros identificadores). Para Tanzania, el acceso estaría vinculado a cuentas de correo institucional con hashes MD5 y contraseñas débiles. No hay confirmación pública sobre el compromiso.

–[ Investigación y herramientas ]–

Coruna — Kaspersky confirma el vínculo con Operation Triangulation

Para quienes investigan iOS en la región un update sobre Coruna que ya habíamos mencionado. Kaspersky publicó el análisis de código que faltaba: Coruna no es un ensamble de exploits públicos sino una evolución directa del mismo framework usado en Operation Triangulation. Los autores son los mismos. El kit siguó activo, y recibiendo actualizaciones — incluye soporte para hardware reciente de Apple — y la lógica de circulación entre actores de espionaje y cibercrimen que señalamos antes tiene ahora una explicación más concreta:

–[ Actividad maliciosa / Ransomware ]–

LATAM — Ransomware Akira como referencia

ESET detectó una campaña de ransomware apuntando a Sudamérica que imita a Akira casi en todo — nota de rescate, URLs en Tor, extensión de archivos — pero por dentro usa código de Babuk, un ransomware cuyo código fuente fue filtrado en 2021 y desde entonces circula libremente. Alguien usando el nombre de Akira para posicionar la operación. El dato interesante es operativo: el branding de grupos establecidos ya se usa como herramienta de presión, independientemente de la afiliación real.

LATAM — TheGentlemen: ransomware con presencia regional creciente

Desde mediados de 2025, TheGentlemen se ha posicionado como uno de los grupos de ransomware más activos. Lo que lo define no es el volumen sino el método: estudia las defensas de cada objetivo, adapta sus herramientas durante la intrusión si los controles lo bloquean y opera bajo un modelo de doble extorsión. En LATAM tiene víctimas confirmadas en Colombia, Argentina, Chile, Brasil y otros países de la región. El perfil de targets se repite: sectores con datos sensibles e infraestructura crítica.

–[ ZOLIM - El snapshot de esta semana (02/04/2026) ]–

  Con 13 nuevas IPs en este snapshot, la infraestructura sigue creciendo.

Algunas señales de esta semana:

• GoPhish sigue siendo base con la mayoría de nodos y mantiene patrones repetidos — especialmente el puerto 3333 (37 IPs) — en múltiples países y ASNs.
• Quasar sigue en aumento y se mantiene distribuido, mientras Sliver crece levemente. DCRat (8) y Havoc (5) aparecen más concentrados en ciertos países, especialmente Colombia y Brasil.
• Brasil continúa concentrando más de la mitad de la infraestructura (68 IPs), con São Paulo como punto dominante. Colombia se mantiene estable (14), con actividad en Barranquilla y Valledupar asociada a DCRat y AsyncRAT.
• Aparecen nuevos ISPs que no habíamos visto en snapshots anteriores. Uno de ellos en Sinaloa (México) alojando un nodo de GoPhish, fuera de los proveedores habituales. La infraestructura se está moviendo hacia redes más locales.
• UnamWebPanel vuelve a aparecer, ahora combinado con Sliver en un nodo.

La infraestructura sigue desplegada sobre cloud comercial y proveedores regionales (Oracle, Amazon, Microsoft), con presencia persistente entre snapshots.

En ZOLIM puedes explorar el snapshot completo y la tabla donde publicamos todas las IPs activas por país si quieres profundizar en los datos :D

https://zoquelabs.xyz/zolim